Une plateforme de Threat Intelligence (TIP) est une brique indispensable à tout SoC pour hiérarchiser les menaces. Voici 5 conseils pour bien choisir une plateforme de renseignement sur les menaces.
En ce début d’année 2022 et à l’approche du nouvel exercice financier, de nombreuses entreprises commencent à identifier les principaux axes stratégiques pour l’année à venir et les investissements technologiques nécessaires pour y parvenir. Compte tenu de l’environnement agressif des cybermenaces observé au cours des 18 derniers mois, les investissements en matière de cybersécurité figurent parmi les priorités pour beaucoup. De plus en plus, les organisations mettent en place leur propre centre d’opérations de sécurité (SOC), des capacités de réponse aux incidents et des équipes de renseignement sur les menaces, dans le but de répondre aux exigences de gestion des risques et de conformité et de défendre l’entreprise de manière proactive. Cependant, la mise en place d’un SOC déclenche un déluge de données provenant de sources disparates, qui submerge souvent les équipes internes et empêche le SOC de fonctionner efficacement. La solution, qui figure actuellement sur la liste d’achats de nombreuses entreprises de 2022, est une plateforme de renseignement sur les menaces.
Une plateforme de Threat Intelligence, ou TIP, sert de Mémoire centrale pour toutes les données et renseignements sur les menaces provenant de sources internes et externes. Correctement configurée, un TIP devrait être en mesure de fournir un contexte essentiel autour des menaces qui aide l’équipe à comprendre le qui, le quoi, le quand, le comment et le pourquoi d’une menace. Il doit aussi, et c’est essentiel, aider à hiérarchiser les menaces, sur la base des paramètres définis par l’organisation, en filtrant le bruit pour que les actions qui en découlent soient claires. Une bonne plateforme apporte un bénéfice à toute une série de parties prenantes, du conseil d’administration qui cherche à comprendre le risque stratégique, aux RSSI qui se concentrent sur l’amélioration de la défense tout en respectant le budget, et des analystes de sécurité qui collaborent plus efficacement ainsi qu’aux équipes de réponse à incident qui bénéficient d’une hiérarchisation automatisée des incidents.
Savoir dans quoi une entreprise doit investir est la première étape. Il s’agit ensuite de comprendre les principales fonctionnalités dont elle aura besoin et pourquoi. Il y a beaucoup de choses à prendre en compte, mais les cinq domaines clés suivants devraient figurer sur la liste de contrôle lorsqu’un TIP est analysé :
1/ Capacité à consommer des données structurées et non structurées
Un TIP doit être capable d’importer des données de toutes les sources possibles – internes et externes, propriétaires et open source – et de tous les formats, qu’ils soient structurés ou non. Cela inclut les données provenant de tout l’écosystème des outils de sécurité tels que les outils de détection et réponse endpoint ou réseaux ainsi que les solutions de sécurisation des clouds. En ce qui concerne les données non structurées, telles que les blogs et les messages sur les médias sociaux, la plateforme doit être capable d’analyser et d’extraire des données « neutralisées » et de convertir l’information dans un format standard.
L’environnement des menaces évolue en permanence, donc la possibilité de créer de nouveaux connecteurs personnalisés pour ingérer des renseignements sur les nouvelles menaces à mesure qu’elles apparaissent est également essentielle. Il en va de même pour la possibilité de définir des objets supplémentaires pour répondre à des cas d’usage spécifiques, ce qui permet aux équipes d’adapter la plateforme au profil de risque spécifique de leur organisation.
2/ Le contexte prime !
Le contexte est la pièce cruciale du puzzle qui permet aux équipes de donner un sens à ce que la masse d’indicateurs leur dit et de réagir de manière appropriée. En raison de l’importance de ce contexte, il est important de déterminer si le fournisseur de TIP importe toutes les données et/ou s’il modifie certaines d’entre elles.
La modification peut être utile car une couche de normalisation est essentielle aux efforts de déduplication. Cependant, la normalisation et l’unification des données doivent être effectuées tout en préservant le contexte. Par exemple, si la source X publie https://www.badguy.com, la source Y publie http://www.badguy.com et la source Z publie www.badguy.com, les trois doivent être rapprochées en une seule entrée d’IOC (indicateur de compromission). Ce sont tous des indicateurs « techniquement » différents, mais l’objectif est de maximiser efficacement les stratégies de détection avec un minimum de doublons. La normalisation des flux de données permet de consolider les commentaires des analystes, de mieux organiser les renseignements associés et d’exporter efficacement un seul IOC au lieu de trois, ce qui permet de gagner en efficacité.
3/ Notation et hiérarchisation des priorités
L’énorme quantité d’indicateurs publiés aujourd’hui signifie qu’il est impossible – et même indésirable – de les surveiller tous. C’est pourquoi la notation et la priorisation sont des éléments clés d’une TIP efficace. Les équipes ont besoin d’un mécanisme permettant de hiérarchiser les indicateurs qui doivent être détectés pour faire l’objet d’une enquête, bloqués ou ignorés comme n’étant pas une menace.
Le scoring est très spécifique à l’organisation et à la mission de l’équipe et ne doit pas simplement refléter l’opinion des fournisseurs ou de la communauté. Un TIP progressif permettra de définir un algorithme de notation à partir de n’importe quelle donnée du système, ce qui en fait une solution de gestion des menaces plus adaptée et plus précise.
4/ Options d’intégration multiples
L’intégration avec l’ensemble de l’écosystème des outils de sécurité est essentielle à la proposition de valeur d’un TIP. Plus l’intégration est ciblée, moins les analystes ont besoin de travail manuel et plus les équipes opérationnelles sont efficaces.
L’intégration unidirectionnelle – du TIP vers une solution de blocage périmétrique par exemple – est une évidence. Il s’agit d’une stratégie purement défensive et de l’intégration la plus courante, qui consiste à faire passer les menaces les plus élevées automatiquement évaluées de la plate-forme de renseignement aux tranchées de la grille de capteurs de l’organisation pour les détecter et/ou les bloquer.
La seconde étape d’intégration dans un TIP est bidirectionnelle, avec des données sortant de l’outil et y rentrant. L’objectif ici est de pouvoir à la fois fournir de l’information pour augmenter l’efficacité de ces outils, mais aussi de capter le renseignement généré pendant le traitement d’un incident de sécurité par exemple. Les principaux cas d’usage de l’intégration bidirectionnelle sont les SIEM ou les logs, les Ticketing systems, les solutions de gestion des vulnérabilités et les solutions SOAR. Les fournisseurs devraient proposer des kits de développement logiciel (SDK) et des API ouvertes pour faciliter les intégrations.
5/ Automatisation et enquêtes basées sur les données
Pour les équipes de sécurité sous pression, la capacité d’automatiser les tâches répétitives, chronophages et de bas niveau est essentielle. Si un outil peut combiner cette automatisation avec les données et le contexte en temps réel nécessaires pour permettre aux analystes d’enquêter sur les incidents à fort impact et à délai critique, c’est encore mieux ! En effet, les équipes ont besoin d’un équilibre entre l’automatisation et l’investigation manuelle, et la plateforme de renseignement sur les menaces doit offrir cet équilibre en utilisant une approche native et axée sur les données.
Au-delà des considérations techniques – dont les éléments ci-dessus donnent un aperçu et ne sont pas exhaustifs – les organisations doivent également évaluer les facteurs commerciaux.
La tarification se fait généralement sur la base d’un abonnement et d’une licence par utilisateur, ce qui constitue un calcul initial simple basé sur le nombre d’utilisateurs. Cependant, une mise en œuvre réussie devrait voir un ensemble plus large de parties prenantes réaliser la valeur de l’accès à la plate-forme, il est donc utile de prévoir l’accès par des équipes telles que la gestion des risques.
L’intégration est au cœur de la proposition de valeur du TIP, et les fournisseurs doivent proposer un SDK et des API ouvertes pour faciliter cette intégration, mais certains facturent des frais par intégration. Cela peut augmenter considérablement le budget lorsque l’entreprise considère le nombre d’outils différents qu’elle souhaite intégrer, il est donc essentiel de le savoir dès le départ. De même, si l’entreprise procède à des fusions ou à des acquisitions, il faudra intégrer les outils de la société acquise dans le TIP, ce qui aura une incidence financière si des frais doivent être payés à chaque fois.
Enfin, il faut comprendre les implications financières de l’hébergement d’un TIP on premise ou dans le Cloud. Si un service basé sur le cloud est évalué mais que l’entreprise doit déployer une instance de cloud privé pour des raisons de conformité ou de confidentialité, elle doit s’assurer de comprendre s’il y a des coûts supplémentaires et des compromis dans les fonctionnalités/caractéristiques. Un TIP conçu pour fonctionner dans le cloud ne peut souvent pas offrir toutes les fonctionnalités du on premise sans un serveur d’intégration local.
Une plateforme de renseignement sur les menaces peut améliorer considérablement les performances du SOC et son choix doit faire l’objet d’une étude approfondie et d’une décision rigoureuse. Alors que les organisations cherchent à améliorer leur proactivité et à s’engager dans des activités telles que la chasse aux menaces, tout en hiérarchisant efficacement les réponses aux menaces entrantes, une puissante plateforme de renseignement sur les menaces leur permettra de tirer le meilleur parti des ressources existantes et de maximiser le retour sur investissement dans les outils de sécurité.
___________________
Par Yann Le Borgne, International Vice President for Threat Intelligence Engineer, Threatquotient
À lire également :
> 5 conseils pour maximiser les bénéfices de son programme de Threat Intelligence…
> Threat intelligence : quelles sources OSINT en fonction du risque cyber ?
> État des lieux du SOC : la pénurie de compétences, l’automatisation et le contexte restent problématiques…
> ThreatQuotient rationalise le SOAR et le XDR